top of page
Suche

Übersicht der Kernthemen in DORA

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, die digitale Resilienz und Cybersicherheit im gesamten europäischen Finanzsektor zu stärken. DORA schafft einen einheitlichen Rechtsrahmen für Banken, Versicherungen und andere Finanzunternehmen und adressiert dabei insbesondere Risiken aus der Informations- und Kommunikationstechnologie (IKT).


Nachfolgend findest du eine strukturierte Übersicht zu den zentralen Kernthemen von DORA:


1. IKT-Risikomanagement

  • Aufbau und Pflege eines umfassenden IKT-Risikomanagements mit klaren Richtlinien, Kontrollen und Verantwortlichkeiten.

  • Identifikation, Bewertung, Überwachung und Steuerung von IKT-Risiken.

  • Anforderungen an Governance, Strategie und interne Kontrollsysteme.

  • Das Leitungsorgan trägt die Gesamtverantwortung für die digitale Resilienz.


2. Management und Meldung IKT-bezogener Vorfälle

  • Verpflichtung zur Erkennung, Klassifizierung und Dokumentation von IKT-bezogenen Zwischenfällen (z.B. Cyberangriffe, Systemausfälle).

  • Einheitliche und erweiterte Meldepflichten gegenüber Aufsichtsbehörden.

  • Implementierung von Prozessen zur schnellen Reaktion und Wiederherstellung nach Vorfällen.


3. Testen der digitalen operationalen Resilienz

  • Regelmäßige Durchführung und Dokumentation von Resilienztests, darunter auch bedrohungsgesteuerte Penetrationstests (TLPT).

  • Überprüfung der Wirksamkeit von Notfallplänen, Sicherheitsmaßnahmen und Wiederanlaufstrategien.

  • Jährliche Tests von Systemen und Werkzeugen zur Sicherstellung der Betriebsstabilität


4. IKT-Drittparteimanagement

  • Management von Risiken aus der Zusammenarbeit mit externen IKT-Dienstleistern (z.B. Cloud-Anbietern, IT-Outsourcing).

  • Einrichtung und Pflege eines vollständigen Auslagerungsverzeichnisses.

  • Vertragliche Verpflichtungen für Drittparteien, bestimmte Sicherheitsstandards und Meldewege einzuhalten.

  • Berücksichtigung von Konzentrationsrisiken und Überwachung kritischer IKT-Drittdienstleister durch einen EU-weiten Aufsichtsrahmen.


5. Informationsaustausch und Zusammenarbeit

  • Förderung des Informationsaustauschs über Cyberbedrohungen zwischen Finanzunternehmen.

  • Teilnahme an branchenspezifischen Austauschplattformen und Cyberkrisenübungen.

  • Aufsichtsbehörden stellen anonymisierte Erkenntnisse über Cyberbedrohungen zur Verfügung


Weitere Hinweise:

  • DORA gilt für eine breite Palette von Finanzunternehmen, darunter Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen und viele mehr.

  • Die Umsetzung der Verordnung ist verpflichtend und erfordert Anpassungen in Compliance- und Risikomanagement-Strukturen.

  • Die BaFin bietet weiterführende Informationen und einen Fragenkatalog zu DORA.


Diese Kernthemen bilden die Grundlage für die regulatorischen Anforderungen, die Finanzunternehmen ab Januar 2025 erfüllen müssen. Eine strukturierte Gap-Analyse und eine frühzeitige Anpassung der internen Prozesse sind essenziell für die erfolgreiche Umsetzung

Kommentare

bottom of page